Microsofts Security-Chefs

"IT-Sicherheit ist zum Vorstandsthema geworden"

Simon verantwortet als Program Manager Executive Education die Geschäftsentwicklung und die Inhalte des IDG-Weiterbildungsangebots an der Schnittstelle von Business und IT. Zuvor war er rund zehn Jahre lang als (leitender) Redakteur für die Computerwoche tätig und betreute alle Themen rund um IT-Sicherheit, Risiko-Management, Compliance und Datenschutz.
Hatten noch vor wenigen Jahren nur die größten deutschen Konzerne einen dedizierten IT-Security-Verantwortlichen beziehungsweise CISO benannt, haben sich Wahrnehmung und Verantwortung von und für IT-Sicherheit mittlerweile deutlich verschoben. Darüber sprachen wir mit zwei Security-Koryphäen von Microsoft.

Tim Rains ist seit einigen Monaten als Director Security für das weltweite Marketing von Microsofts Security- und Identity-Produkten sowie -themen verantwortlich und betreut federführend den halbjährlich erscheinenden "Security Intelligence Report". Davor war er in verschiedenen anderen Positionen bei Microsoft tätig, unter anderem als Chief Security Advisor bei der Microsoft Trustworthy Computing Group, wo er Unternehmen bei der Entwicklung ihrer Security-Strategie unterstützte.

Tim Rains ist Director Security bei Microsoft.
Tim Rains ist Director Security bei Microsoft.
Foto: Nam Ng / Microsoft

Michael Kranawetter arbeitet schon seit vielen Jahren als National Security Officer und Head of Information Security bei Microsoft Deutschland und ist bei den deutschen Microsoft-Kunden sowie -Partnern erster Ansprechpartner für alles rund um IT-Security, Risiko-Management und Datenschutz. Darüber hinaus ist er auch bei Nicht-Microsoft-Kunden ein über die Maßen anerkannter Security-Experte.

Michael Kranawetter berät als Microsofts National Security Officer seit vielen Jahren deutsche Unternehmen in IT-Sicherheitsfragen.
Michael Kranawetter berät als Microsofts National Security Officer seit vielen Jahren deutsche Unternehmen in IT-Sicherheitsfragen.

Wir haben mit den beiden über die Ergebnisse des jüngsten "Security Intelligence Report", aktuelle und künftige Security-Trends sowie den Wandel der Bedeutung des Themas IT-Sicherheit in deutschen und internationalen Unternehmen gesprochen.

CW: Herr Rains, Sie sind seit diesem Jahr für den Microsoft Security Intelligence Report, kurz SIR, verantwortlich. Welche Ergebnisse des neuen Reports haben Sie überrascht?

RAINS: Persönlich hat mich die Entwicklung im Bereich Ransomware überrascht. Alle berichten darüber, alle machen sich Gedanken. Schauen wir uns aber die Fakten an, die wir über die Verbreitung von Ransomware gesammelt haben, stellen wir fest, dass es bei weitem nicht so verbreitet ist, wie man erwarten könnte. Es handelt sich sogar um den am wenigsten verbreiteten Angriffsvektor unter allen Arten von Malware in den letzten Jahren - gerade einmal durchschnittlich 0,4 Prozent aller Systeme waren im zweiten Halbjahr 2015 von Ransomware betroffen.

Der Unterschied ist eben, dass die Auswirkungen so schwerwiegend sind. Reden wir über Risiko-Management, reden wir über eine Kombination aus Auswirkungen und Wahrscheinlichkeiten. In diesem Sinne ist Ransomware ein zwar unwahrscheinliches Risiko, das aber sehr schlimme Folgen hat, wenn es doch real wird, weil man sich nicht gewappnet hat.

Erpresser-Services

CW: Wie groß ist das Ransomware-Problem im internationalen Vergleich?

RAINS: Ransomware ist zwar ein weltweites Phänomen, es gibt aber Regionen, die stärker betroffen sind als andere. So lag die Infektionsrate mit Ransomware in den Vereinigten Arabischen Emiraten im dritten Quartal 2015 bei fast drei Prozent - und damit um ein vielfaches über dem weltweiten Durchschnitt von 0,4 Prozent. Mit rund einem Prozent infizierter Systeme ebenfalls etwas stärker betroffen sind englischsprachige Länder wie Kanada und die USA.

CW: Herr Kranawetter, wie verhält es sich in Deutschland?

MICHAEL KRANAWETTER: Ransomware erfährt auch hierzulande eine große Aufmerksamkeit, weil sie im Gegensatz zu anderen Arten von Malware schwerwiegende Folgen mitbringt. Betroffene Anwender kommen nicht mehr an ihre wichtigen Daten - weil sie es aber müssen, zahlen sie nicht selten das Lösegeld, das macht es zu einem lohnenden Geschäftsmodell für die Angreifer. Wir hatten ja beispielsweise bereits die aufsehenerregenden Fälle, dass deutsche Krankenhäuser Opfer von Ransomware wurden. Die Zahlen hatte Tim ja bereits genannt - tatsächlich sind es sehr wenige Fälle, auch wenn die Tendenz zunehmend ist.

CW: Wie wird sich die Ransomware weiterentwickeln?

RAINS: Sie wird sich weiter verbreiten, was vor allem mit dem Aufkommen von "Ransomware as a Service" zusammenhängt. Technisch versierte Entwickler, die sich mit Festplattenverschlüsselung auskennen, stellen Ransomware-Kits her und stellen diese weniger versierten Cyberkriminellen leihweise zur Verfügung. Vergleichbar ist das Ganze mit den Geschäften mit Exploit Kits und Drive-by-Download-Angriffen in den vergangenen Monaten - wie beispielsweise dem Angler- oder dem Blackhole-Exploit-Kit. Es wird immer einfacher, Cyberangriffe zu starten - also wird ihre Zahl weiter zunehmen.

Darüber hinaus erwarte ich, dass der Anteil von Ransomware in gezielten Angriffen steigt. Wurde das Ziel erst einmal kompromittiert, machen sich die Angreifer auf die Suche nach sensiblen und wertvollen Daten, die sie dann verschlüsseln und erst gegen Zahlung wieder freigeben. Das betrifft auch eventuell vorhandene Backups dieser Daten, damit die Erpressung gelingen kann.

CW: Was können Unternehmen dagegen tun?

RAINS: Das Gute ist, dass es recht einfach ist, sich gegen Ransomware zu schützen. Das beste Mittel sind Backups - Unternehmen sollten sicherstellen, dass sie immer ein aktuelles, getestetes Backup ihrer wichtigsten Daten zur Hand haben. Wichtig zu wissen ist aber, dass Malware all das kann, was der Nutzer auch kann - hat der Nutzer also ständigen Zugang zu den Backups, hat auch die Malware die Möglichkeit, die Backups anzugreifen. Die Backups sollten deshalb offline aufbewahrt werden.

Im folgenden Video fasst Tim Rains seine Aussagen zum Thema Ransomware (und auch zum in diesem Interview noch folgenden Thema "Security und Künstliche Intelligenz") noch einmal kurz zusammen:

Löcherige Anwendungen allerorten

CW: Welches Ergebnis des SIR hat sie sonst noch überrascht?

RAINS: Die Zahl der veröffentlichten Sicherheitslücken ist im zweiten Halbjahr 2015 deutlich gestiegen - um fast zehn Prozent im Vergleich zum Vorjahr. Wir sprechen da mittlerweile von rund 5000 bis 6000 neuen Sicherheitslücken pro Jahr. Mir ist sehr daran gelegen, immer wieder auf diese neuen Schwachstellen hinzuweisen, weil die Anwender selbst aktiv werden müssen, um ihre Software zu patchen.

Und das betrifft nicht nur Microsoft-Produkte. Es geht in bis zu 80 Prozent der Fälle um einzelne Anwendungen und nicht um Betriebssysteme oder Webbrowser - also genau nicht um die Software, die die meisten Unternehmen sowieso regelmäßig updaten. Sorgen macht, dass gerade die Zahl der schweren Sicherheitslücken deutlich zunimmt - also solcher, über die Angreifer beispielsweise aus der Ferne Schadcode ausführen können.

CW: Ein weiteres wichtiges Thema des Reports ist der Angriff auf Passwörter. Welche Trends sehen Sie in diesem Bereich?

RAINS: Es ist für Kriminelle einfach geworden, umfangreiche Listen mit Nutzernamen und Passwörtern zu erstellen, die beispielsweise im Zuge eines Datenlecks öffentlich wurden. Diese Listen werden dann bei Finanzdienstleistern, Internet-Service- oder E-Mail-Providern ausgetestet, ob die bekannten Nutzername-Passwort-Kombinationen irgendwo funktionieren und den Zugriff auf bestimmte Dienste ermöglichen.

CW: Inwieweit trägt Microsoft dazu bei, diese Entwicklung einzuschränken?

RAINS: Wir schauen uns solche Passwortlisten an und arbeiten Abwehrmaßnahmen für entsprechende Angriffe aus. So haben wir unter anderem ein Identitätssystem aufgebaut, um das Risiko eines Passwortdiebstahls und -missbrauchs einzudämmen. Für unsere Consumer-Services wie Outlook.com oder Xbox Live, in die sich die Nutzer über ihren privaten Microsoft-Account einloggen, erhalten wir bei den Hunderten von Millionen bestehenden Konten täglich rund 30 Milliarden Login-Anfragen. Im Unternehmensbereich haben wir beispielsweise unser Azure Active Directory mit 8,24 Millionen Mandanten, über deren 550 Millionen Nutzerzugänge jeden Tag rund 1,3 Milliarden Authentifizierungsanfragen erzeugt werden. Wir überwachen alle diese Logins und halten Ausschau nach schadhaften Vorgängen, indem wir Machine Learning einsetzen.

Das bringt auch Vorteile für den Datenschutz, weil keine Menschen an der Prüfung der Login-Vorgänge beteiligt sind. Die Kombination aus den angesprochenen Authentifizierungsinformationen und den Daten unserer Digital Crime Unit, die sich gemeinsam mit den US-Strafverfolgungsbehörden, Forschungseinrichtungen und Sicherheitsanbietern um die Entdeckung und Abschaltung von Botnetzen kümmert, hilft uns dabei, herauszufinden, wo die Kriminellen herkommen und wie sie arbeiten. So schaffen wir es, jeden Tag zehn Millionen Passwort-Angriffe zu blockieren.

Wie KI und ML die Sicherheit verbessern

CW: Wie funktioniert das Machine Learning genau?

RAINS: Das System schaut sich an, von wo die Logins erfolgen. Die Algorithmen prüfen zunächst, ob die eingegebenen Daten gültig sind und wenn ja, ob die Wahrscheinlichkeit, dass es sich auch um den rechtmäßigen Nutzer handelt, groß genug ist, dass der Zugang ermöglicht werden kann. Zum einen erfolgt dazu ein Abgleich mit den IP-Adressen der uns bekannten Botnetze. Wenn eine gültige Nutzername-Passwort-Kombination eingegeben wird, dieser Zugriff aber von einer bekannten Botnetz-IP aus erfolgt, handelt es sich wahrscheinlich nicht um einen rechtmäßigen Anwender. In solch einem Fall fordern wir dann eine Mehrfaktor-Authentifizierung ein - der Nutzer muss also mit einem zweiten Faktoren, zumeist einem Smartphone oder bei manchen unserer Kunden auch einer Anruflampe im Büro - nachweisen, dass er rechtmäßig Zugriff auf das System besitzt.

Zum anderen haben wir das Szenario "unmögliches Reisen" - loggt sich jemand beispielsweise von München aus ein und nur zehn Minuten später von Montreal aus, ist das ein klares Zeichen dafür, dass es sich hier nicht um einen rechtmäßigen Login-Vorgang handelt. Solch ein Nutzer wird entweder geblockt oder das System entscheidet, dass hier ein zweiter Faktor zur Authentifizierung benötigt wird. Absolute Sicherheit zu gewähren, ist stets eine Herausforderung. Ein großer Teil der Passwort-Angriffe lässt sich aber verhindern.

CW: Inwiefern werden Machine Learning und Künstliche Intelligenz die Möglichkeiten der IT-Security allgemein erweitern?

RAINS: Wir sind große Befürworter davon, Machine Learning in einem Security-Kontext einzusetzen. Wenn wir uns die aktuellen Abwehrmaßnahmen anschauen, ergibt das Sinn. Unternehmen investierten früher in Firewalls und Antivirus-Software, um sich zu schützen und es erst gar nicht zu einer Kompromittierung kommen zu lassen. Dieses Perimeterkonzept ist mittlerweile überholt; Sicherheitskonzepte, die früher einzig "Schutz und Wiederherstellung" lauteten, gehen zunehmend in die Richtung "Schutz, Erkennung und Reaktion".

Wenn ein Unternehmen heute kompromittiert wird, dauert es im Durchschnitt noch mehr als 240 Tage, bis der Angriff erkannt wird - das Ziel ist es, diese Zeitspanne so weit wie möglich zu verkürzen. Dabei helfen unter anderem Systeme für Security Incident und Event Management, die Log- und Sensordaten auswerten, um mögliche Angriffe frühzeitig zu erkennen. Dieser Ansatz ist sinnvoll, hilft aber nur im eigenen Netz - es lassen sich keine Aussagen drüber treffen, wie gefährdet bestimmte Branchen, geografische Regionen oder Gruppen ausgewählter Partner sind.

Deshalb kommen zunehmend auch Threat-Intelligence-Systeme zum Einsatz, die unternehmensübergreifend Daten einsammeln. Um diese großen Datenmengen auswerten zu können, braucht es Computer, die die Daten in Echtzeit analysieren können - der Zeit- und Personalaufwand wäre für menschliche Experten viel zu groß, zumal wir sowieso einen Mangel an Security-Spezialisten haben. Wenn ich mit CISOs spreche, wird mir immer wieder bestätigt, dass die Auswertung von Security-Daten anders nicht möglich wäre.

IT-Sicherheit als Vorstandsthema

CW: Der CISO - Chief Information Security Officer - ist ein gutes Stichwort. Wie stellt sich die Situation der IT-Sicherheits-Verantwortlichen in Deutschland dar? Mit wem aus den Unternehmen sprechen Sie, Herr Kranawetter?

KRANAWETTER: Ich bin jetzt seit fast neun Jahren als Microsofts Security-Berater im deutschen Markt unterwegs. Als ich angefangen habe, "leisteten" sich nur die großen Konzerne einen CISO beziehungsweise jemanden, der sich explizit um IT-Security-Themen kümmerte. In den vergangenen Jahren hat sich das geändert - die Unternehmen entwickeln zunehmend das Bewusstsein, dass IT-Security ein Teil des Risiko-Managements ist, um den man sich kümmern muss. Rechtliche Anforderungen des Datenschutzes und Compliance-Regelungen spielen da genauso mit hinein wie die mediale Berichterstattung über Security-Vorfälle - das führt dazu, dass zunehmend in IT-Sicherheit und IT-Sicherheitsexperten investiert wird.

Wenn ich heute mit Unternehmen spreche, dann zum einen natürlich immer noch mit den CISOs beziehungsweise IT-Security-Verantwortlichen eben genau über die Themen, die Tim eben angesprochen hat - um neue Erkennungs- und Analysemechanismen. Zum anderen spreche ich aber immer häufiger auch mit CIOs und CEOs oder anderen C-Level-Vertretern, die qua Amt Geschäfts- und Risikoentscheidungen treffen müssen, auch im Bereich IT-Security. Ihnen stehe ich dann mit meinem Fachwissen beratend zur Seite. Ich decke mittlerweile also die gesamte Entscheiderebene im Unternehmen ab.

Wichtig zu wissen ist noch, dass sich ja auch noch mehr Funktionen in diesem Dunstkreis wiederfinden: der Chief Security Officer, der sich mehr um Themen wie Brandschutz oder Gebäudesicherheit kümmert, der Chief Risk Officer, der ganz gezielt das Risiko-Management betreut, oder der Chief Compliance Officer, der für die Durchsetzung der Policies verantwortlich ist - derartige Aufgaben sind definitiv nicht innerhalb der IT angesiedelt, sondern darüber. Einzig, wenn es um den sicheren IT-Betrieb geht, ist das noch etwas anders.

CW: Ist die internationale Entwicklung vergleichbar mit der in Deutschland?

RAINS: Besonders in den vergangenen beiden Jahren ist da Bewegung hineingekommen. Vorher war die Verantwortung für Security eingebettet in die IT-Abteilungen. Mittlerweile berichten IT-Security-Verantwortliche immer häufiger direkt an die Vorstände, an den CIO oder in kleineren Unternehmen den CFO. IT-Sicherheit ist zum Vorstandsthema geworden - fast alle Vorstände, mit denen ich mich unterhalte, setzen es regelmäßig auf die Agenda ihrer Sitzungen. Viele bilden derzeit auch spezielle Risk Councils - also Arbeitsgruppen, die sich auf Vorstandsebene mit den Risiko-Management- und IT-Security-Themen gezielt auseinandersetzen. Wer vor zwei Jahren noch keinen CISO respektive IT-Security-Manager hatte, hat spätestens jetzt jemanden für diese Themen.

CW: Welche Rolle spielen die gestiegenen gesetzlichen Anforderungen?

KRANAWETTER: Ich halte es für eine positive Entwicklung. Weil die Bedrohungslage allein manchmal nicht schmerzlich genug ist, helfen Gesetze und regulatorische Anforderungen wie beispielsweise das deutsche IT-Sicherheitsgesetz für die Betreiber kritischer Infrastrukturen ein wenig nach. Das kann aber nur der erste Schritt sein. Was die Zukunft angeht, werden auch andere Industrien noch mehr gefordert werden. Ich erwarte mehr granulare Regelungen - eine Basis mit Vorschriften, welche Systeme, Daten und Netze in jedem Fall abgesichert und geschützt sein müssen und einen darauf aufsetzenden auf dem Freiwilligkeitsprinzip basierenden Teil.

Was Michael Kranawetter zu den Themen CISO und gesetzliche Anforderungen zu sagen hat, fasst er in dem folgenden Video noch einmal kurz zusammen:

Security-Fragen rund um Windows 10

CW: Kommen wir abschließend noch auf das Microsoft-Thema, das Unternehmen derzeit wohl am stärksten umtreibt - Windows 10. Wie stark ist die Plattform in deutschen Unternehmen schon verbreitet?

KRANAWETTER: Viele Unternehmen schauen es sich an und planen derzeit ihre Migrationsprojekte - zumeist von Windows 7 aus. Da braucht es noch eine gewisse Zeit, weil die Umstellung deutlich komplexer ist als bei Privatanwendern, denen ein Upgrade aus unserer Sicht doch recht einfach fällt. Der Aufwand für eine Migration wird aber bald auch in den Unternehmen geringer werden, weil Features künftig schneller erneuert oder eingebaut werden können.

CW: Wie verbessert Windows 10 die Sicherheit im Unternehmen?

RAINS: Die Unternehmen werden zumeist auf vier Wegen angegriffen - über ungepatchte Sicherheitslücken, schwache Passwörter, falsch konfigurierte Systeme und Social Engineering. Mit Windows 10 gehen wir diese Einfallstore gezielter an als früher. Wir patchen systematisch mit Windows Update for Business, lösen das Passwort-Problem mit Windows Passport und dem biometrischen Authentifizierungssystem Windows Hello, das Passwörter überflüssig machen soll. Die Nutzer können sich mit ihren Fingerabdruck oder ihrem Gesicht anmelden, müssen sich ihre Login-Daten nicht mehr merken - das ist benutzerfreundlicher und auch sicherer, weil sie Betrügern nicht mehr ihr Passwort verraten können. Aus Sicht der IT-Sicherheit ist Windows 10 ein großer Schritt nach vorne.

Wie sich Unternehmen mit einer Windows- und Office-Infrastruktur am besten gegen IT-Sicherheitsrisiken schützen, erklärt Michael Kranawetter abschließend im folgenden Video: